皆さんこんにちは、代表の上口稚洋です。
近年、企業の情報漏えい事故が相次ぎ、損害賠償請求にまで発展するケースが増えています。
「万が一漏えいが起きたら、どれくらいの損害賠償を請求されるのだろう?」
そんな不安を感じている方も多いのではないでしょうか。
この記事では、情報漏えいによって企業が負う損害賠償の相場や、実際の事例、そして企業が取るべき対策についてわかりやすく解説します。
情報漏えいで発生する損害賠償について
「個人情報が漏れたら、企業は必ず損害賠償を支払うのか?」
そう疑問に思う方は多いかもしれません。
実は、個人情報保護法には「損害賠償」に関する明確な規定はありません。
実際に損害賠償が求められるのは、「プライバシーを侵害された」などの民法上の不法行為責任(民法709条)や、秘密保持契約違反など契約上の債務不履行が根拠となるケースがほとんどです(民法415条)。
つまり、個人情報保護法に違反したという理由だけで、必ずしも賠償義務が発生するわけではないのです。
情報漏えいで損害賠償が発生するケース
先述した通り、企業が情報漏えいを起こしても、必ず損害賠償が発生するわけではありません。
しかし、民事上の責任として、損害賠償の支払いを命じられる場合もあります。
ここでは、どのようなケースで損害賠償が発生するのかを解説します。
企業側に故意、または過失がある場合
企業に故意や過失があると認められた場合、損害賠償の責任が発生します。
たとえば、適切なセキュリティ対策を取らずに個人情報を管理していたり、ウイルス対策ソフトの更新を怠っていたようなケースが該当します。
こうした管理の不備は、個人情報保護法や契約上の「安全管理義務」に違反しているとみなされます。
安全管理義務とは、個人情報を漏えいや紛失、改ざんから守るために、企業が整えておくべき管理体制のことです。
この義務を怠って情報漏えいが発生した場合には、民法上の不法行為責任に基づき、損害賠償を求められることになります。
なお、2022年に改定された個人情報保護法では、個人情報が漏えいし、その経緯や取扱・対応に落ち度があることが発覚した法人に対する罰金は1億円以下です。
漏えいによって被害者に損害が発生した場合
実際に被害者に損害が生じた場合、企業は損害賠償責任を負うことになります。
たとえば、漏えいした情報が悪用され、迷惑メールが届いたり、詐欺やなりすまし被害に遭った場合などが該当します。
ただし、漏えいが確認されたとしても実際の被害がない場合には、賠償額が少額にとどまる、または請求自体が認められないこともあります。
契約違反や秘密保持義務違反があった場合
情報漏えいが契約違反や秘密保持義務の違反によって発生した場合にも、損害賠償責任が問われます。
たとえば、業務委託契約で「個人情報を適切に管理する」と定めていたにもかかわらず、その義務が守られなかったときは、民法上の「債務不履行責任」に基づき損害賠償が請求されます。
また、秘密保持契約を結んでいた場合でも、契約の範囲を超えて情報を扱ったり、十分な管理がされていなかった場合は契約違反となり、同様に法的責任を負うことになります。
契約内容は、損害賠償の有無や金額を決める重要な根拠となるため、契約締結時点から厳密に対応することが求められます。
【注意】行政処分や刑事罰の対象になる場合
情報漏えいが発生し、企業が法令に違反していた場合は、損害賠償だけでなく行政処分や刑事罰を受ける可能性も否定できません。
たとえば、企業の情報管理が不適切だと疑われた場合、個人情報保護委員会が立入調査や報告を求めることがあります。
このとき、正当な理由なく協力を拒んだり、虚偽の報告を行ったりした場合には50万円以下の罰金が科される可能性があります(個人情報保護法182条)。
さらに、委員会からの是正命令に従わず違反を続けた場合には、1年以下の懲役または100万円以下の罰金が科されることもあります(同法178条)。
情報漏えいによる損害賠償の相場はいくら?
情報漏えいが起きた際の損害賠償額は、漏えいした情報の内容や被害の有無、企業の対応によって大きく変わります。
ここでは代表的なケースごとに、損害賠償の相場を紹介します。
一般的な連絡先情報のみの漏えい
氏名・住所・電話番号など、一般的な連絡先のみが流出した場合は、損害賠償額は1人あたり3,000円〜5,000円が目安です。
一般的な連絡先のみの場合は、漏えいしてもすぐに深刻な被害にはつながりにくいため、賠償額も比較的低く設定される傾向があります。
ただし、漏えい人数が多ければ数千万円規模の損害になることもあり、企業にとっては十分にリスクのある金額といえます。
センシティブ情報や二次被害がある漏えい
漏えいした情報に、病歴・信用情報・家族構成など秘匿性の高いセンシティブ情報が含まれていた場合、損害賠償額は1人あたり約3万円前後が相場です。
実際に詐欺やなりすましといった二次被害が起きた場合は、被害の深刻さが認められ、さらに高額な賠償が認定されるケースもあります。
また、漏えい後の企業対応が不誠実だと裁判で不利に働いてしまうため、賠償額が上乗せされる事態になりかねません。
クレジットカード情報の漏えい
クレジットカード番号・有効期限・セキュリティコードなどが漏えいした場合は、1件あたり約10万円が損害賠償の相場とされています。
これらの情報は第三者に悪用されるリスクが極めて高く、実際に不正利用されてしまうケースも少なくありません。
そのため、カード情報の漏えいはとくに深刻なインシデントとみなされ、賠償額も高額になる傾向があります。
実際に損害賠償が発生した3つの事例
情報漏えいにより、企業や自治体が損害賠償を命じられたケースは少なくありません。
ここでは、代表的な3つの事例を紹介します。
事例1:ベネッセコーポレーション
まず紹介するのは、2014年に発生したベネッセコーポレーションの大規模な情報漏えい事件です。
この事件では、業務委託先の元社員による不正な持ち出しにより、約4,858万件の顧客情報が流出しました。
漏えいした情報には、氏名・性別・生年月日・住所・電話番号・メールアドレスに加え、保護者や子どもの情報、さらには出産予定日など、非常に多くの個人情報が含まれていました。
東京地方裁判所は、被害者1人あたり3,300円の損害賠償、総額で約1,300万円の支払いをベネッセに命じました。
ベネッセは顧客対応や信頼回復のための費用として、約260億円もの特別損失を計上。
経済的・社会的に大きな影響を及ぼした事件となりました。
事例2:エステティックTBC
次に紹介するのは、エステティックサロンTBCのWebサイトで、約5万人分の会員情報が流出した事件です。
漏えいした情報には、氏名・住所・職業・電話番号・メールアドレスのほか、アンケートの回答内容や希望するエステコース名など、個人の関心に関わるデータまで含まれていました。
事件発覚後、TBCは速やかにサーバーから情報を削除しましたが、一度流出したデータの完全な回収は不可能でした。
その結果、迷惑メールの送信など二次被害が発生しています。
裁判では、原告13名に対して1人あたり35,000円、別の1名には22,000円の損害賠償が命じられました。
事例3:自治体
最後に紹介するのは、1998年に京都府宇治市で発生した情報漏えい事件です。
この事件では、約21万件の住民基本台帳データが漏えいし、名簿業者に販売されたことが判明しました。
これを受け、住民たちは国家賠償法および民法の不法行為責任に基づき宇治市に損害賠償を請求。
裁判所は、宇治市に対し1人あたり慰謝料1万円と弁護士費用5,000円の支払いを命じました。
損害としては、プライバシー権の侵害による精神的苦痛や、情報が完全に回収されていないことへの不安感が認定されています。
この事件は、自治体の情報漏えいに対して損害賠償が認められた日本初の判例として、現在でも重要な前例とされています。
情報漏えいによって発生するその他のコスト
情報漏えいによる損失は、損害賠償金だけではありません。
顧客対応・企業イメージの低下・業務停止など、目に見えにくいコストも多く発生します。
そのため、損害賠償を含むトータルコストを正しく把握することが、企業にとって重要です。
原因の調査やシステム復旧にかかる費用
漏えいが発生すると、まず必要になるのが原因の特定と範囲の調査です。
調査は外部の専門機関などが行うため、調査費用は高額になる傾向があります。
また、問題となった経路の遮断や、システムの復旧・再構築にも大きな費用がかかります。
加えて、再発防止のためのセキュリティ強化費用も必要となり、企業にとっては大きな負担となります。
クレーム対応やコールセンター運営費
情報漏えいが明らかになると、顧客や取引先への通知と謝罪が欠かせません。
新聞広告やWebでの謝罪文掲載、ダイレクトメールの送付など、対応コストは一気に膨らみます。
さらに、専用のコールセンターを新たに設置するケースも多く、その運営費用に数百万円から1,000万円以上がかかることがあります。
信用低下による売上減少
情報漏えいが原因でサービスが一時停止すると、その間の売上が減少します。
さらに、顧客の信頼を失うことにより、顧客や取引先から契約の見直しや打ち切り、サービス解約が相次ぐことが考えられます。
情報漏えいによる損害賠償に備えるには?
万が一、損害賠償に備えるには、事前の対策が不可欠です。
ここでは、企業が取り組むべき予防策として、セキュリティ対策・社内教育・初動対応フローの整備について解説します。
セキュリティ対策を徹底する
まず基本となるのは、情報セキュリティの強化です。
アクセス権限を必要最低限に制限し、情報への不正アクセスを防ぎます。
また、強力なパスワード管理、VPN(仮想プライベートネットワーク)の利用、多要素認証の導入も効果的です。
とくにリモートワークが一般化した今、どこからでも安全に業務を行う環境づくりが重要です。
こうした基本的な対策を日常的に見直し、継続して実施することが、情報漏えいリスクの大幅な低減につながります。
セキュリティ対策については以下の記事を参考にしてください。
>>情報漏えいを防ぐには?リモートワーク時代の必須セキュリティ対策7つ
社員教育とルールの徹底
情報漏えいの多くは、人為的ミスやルール違反によって起こります。
そのため、全社員に対する情報セキュリティ教育や定期的な訓練が欠かせません。
また、ノートパソコンやUSBメモリなどの社外持ち出しを原則禁止とし、やむを得ない場合は上司の許可や暗号化を必須とするルールを設けましょう。
さらに、ChatGPTやCopilotといった生成AIの業務利用についても注意が必要です。
これらは便利な反面、使い方を誤ると情報漏えいリスクを高める可能性があります。
具体的なガイドラインを整備し、社員に周知することが重要です。
社員教育については以下の記事を参考にしてください。
>>AIによる情報漏えいの原因と対策!CopilotやChatGTP、主要AIごとのリスクも解説
>>いまさら聞けない標的型メール訓練とは?実施の流れと効果を高める3つのポイントを解説
情報漏えいが起きたときの初動対応フローを整備する
情報漏えいが発生したときは、初動の速さと正確さが被害の大きさを左右します。
そのため、事故発生時に備えた対応フローの整備が重要です。
具体的には、あらかじめ社内の連絡体制や初動対応マニュアルを作成し、以下のような対応手順を明確にしておきます。
- 誰が責任者となり指揮をとるか
- 対応チームのメンバーは誰か
- 被害の拡大を防ぐための緊急措置
- 情報漏えいの範囲や原因の把握
- 顧客や関係者への報告・情報共有の方法
これらを事前に定めておくことで、社内の混乱を防ぎ、被害を最小限に抑えることができます。
損害賠償が発生しないケースもある
すべての情報漏えいにおいて、必ずしも損害賠償が発生するとは限りません。
以下のようなケースでは、法律上、賠償責任を問うことができない場合があります。
公益通報に該当する場合
情報の漏えいが「公益通報」として認められた場合、漏えいした本人に損害賠償責任を問うことはできません。
これは、公益通報者保護法という法律に基づくものです。
この法律は、企業や団体の違法行為などを通報した人が、報復などの不利益を受けないよう保護するための制度です。
つまり、社会の利益を守る目的で行われた通報については、たとえ情報が漏えいしていたとしても、民事上の責任は免除されます。
実際の被害が発生していない場合
情報漏えいがあったとしても、実際に被害が発生していない場合は、損害賠償が認められないことがあります。
たとえば、クレジットカード情報が外部に流出したものの、不正利用などの実害が確認されなかったケースでは、賠償の対象外と判断される可能性もあります。
損害賠償が成立するには、「被害者に具体的な損害が発生していること」が必要条件の一つです。
そのため、漏えいの事実だけでは不十分であり、「どのような実害があったか」が非常に重要なポイントとなります。
ただし、一定の条件が必要ですが、実際の被害がなくても、漏えいによる精神的苦痛を理由に慰謝料が認められるケースもあります。
情報漏えいの損害賠償に関するよくある質問(FAQ)
ここからは、情報漏れに関する損害賠償のよくある質問を紹介します。
Q1:漏えいの原因が外注先だった場合、責任はどこにある?
情報漏えいの原因が外注先(委託先)であっても、発注元(委託元)企業も損害賠償責任を負う可能性が高いです。
これは、民法715条の「使用者責任」や、監督義務違反に基づき、委託先の不正行為に対して委託元が責任を問われる裁判例が多いためです。
また、個人情報保護法第25条では、委託元に対し「必要かつ適切な監督義務」が課せられています。
そのため、実際の責任は委託元がどれだけ適切な管理・監督を行っていたかによって判断されます。日頃からしっかり管理体制を整えることが重要です。
Q2:1件でも情報漏えいがあったら損害賠償になるか?
1件の漏えいでも、損害賠償責任が発生する可能性はあります。
被害者はプライバシー権の侵害を理由に損害賠償を請求でき、慰謝料が認められた判例もあります。
賠償額は漏えいした情報の内容や被害の程度によって異なりますが、一般的には1人あたり数千円から数万円程度が相場です。
Q3:顧客から訴えられたらどう対応すればよいか?
まずは、裁判所から届いた訴状や書類をよく確認し、請求内容や理由を正確に把握しましょう。
その後、自社内で事実関係を調査し、証拠や資料を整理します。
そして、できるだけ早く弁護士などの専門家に相談し、法的なアドバイスを受けることが重要です。
答弁書を作成し、裁判所の指定する期限内に提出する必要があります。
また、当事者間での話し合い(任意交渉)や和解も可能ですが、その際は必ず書面に記録を残してください。
まとめ
情報漏えいによる損害賠償は、企業の過失や故意、被害者の実際の損害発生、契約違反などが原因で発生します。
賠償額は漏えいした情報の種類や被害状況によって変わり、一般的な連絡先情報の漏えいでは1人あたり数千円程度、センシティブ情報や二次被害がある場合は数万円になることもあります。
また、損害賠償以外にも、調査費用や信用失墜による売上減少など、大きなコストがかかるため、企業は情報漏えい対策が欠かせません。
企業はセキュリティ対策や社員教育、初動対応のマニュアル整備などでリスクを軽減しましょう。
万が一のときは、速やかに専門家と連携して適切に対応することが重要です。
参考記事:経済産業省第6章 漏えい事案への対応
